Kuntien ICT-hankinnat uudessa tilanteessa – huoltovarmuus syntyy yhteistyöstä markkinoilla
Hankintalain sidosyksikköjä koskevat muutokset ovat tulossa eduskuntakäsittelyyn, eli julkisomisteisen yhtiön tuotannon ostamista ilman hankintalain mukaista kilpailutusta ollaan rajoittamassa. Rajoitus koskee omistuspohjaa. Jatkossa on omistettava vähintään 10 % yhtiöstä, jotta suoraosto ilman kilpailutusta on mahdollista.
Hankintalain uudistus onkin keskeinen väline, kun hallituksen tavoitteina mm. markkinoiden toimivuuden edistäminen ja kilpailun lisääminen, kilpailuneutraliteetti, säästöt ja tehokkuus julkisissa hankinnoissa sekä huoltovarmuus.
Meillä on muista maista poikkeava markkinarakenne, jossa julkisomisteiset yhtiöt ovat keskittyneet huomattaviksi kansallisen tason toimijoiksi. Ns. in-house -yhtiöiden keskittyneen markkinan puolustajat esittävät monenlaisia ja osin vaikeasti hahmotettaviakin huolia, joista yksi on näiden yhtiöiden asiakkaiden turvallisuus. Huolien mukaan käytön rajaamisen arvioidaan heikentävän kriittisiä palveluita, kyberturvallisuutta ja jopa huoltovarmuutta.
Onko Suomen turvallisuus siis riippuvainen siitä, missä organisaatiomuodossa toiminta järjestetään? Parantuuko turvallisuus, mikäli hankintaa ei kilpailuteta. Voisi väittää, että päinvastoin. Oikein toteutettuna kilpailutus varmistaa kustannustehokkaimman tavan tuottaa tavoiteltu turvallisuusriskien hallinnan taso.
Hankintalain muutoksen tarkoitus on nimenomaan varmistaa, että julkinen sektori hyödyntää markkinoiden ratkaisuja tehokkaasti, esimerkiksi kyberturvallisuuden hallintapalveluiden osalta. Turvallisuusriskien, turvallisuustuotteiden ja palveluiden sekä oman toiminnan kehittyminen edellyttää dynaamista osallistumista markkinoihin, eli kilpailutusten hyödyntämistä – ja usein lisäämistäkin. Kilpailutuksia ei ole pakko jokaisen kunnan – varsinkaan pienempien – edelleenkään tehdä yksin, sillä yhteishankinnat, hankintaringit ja muu hankintatoiminnan koordinointi on täysin mahdollista jatkossakin. Yhteishankintajärjestelyt (esim. hankintarengas) turvaavat pienten hankintayksiköiden neuvotteluvoiman. Kuntien ICT-osaamisen ja -kyvykkyyksien hallinnasta voidaan huolehtia vastaavasti yhteistyöjärjestelyin, vaikka osaava työvoima jakautuisikin toisin aiempaan verrattuna. Kuntien tarpeita vastaavasti laajan asiakaspohjan omaavilla kilpaillulla markkinoilla toimivilla yrityksillä on parhaat mahdollisuudet kehittää ja tarjota tuotteita ja palveluita, jotka vastaavat myös nopean teknologisen kehityksen ja muuttuvan turvallisuustilanteen mukanaan tuomiin tarpeisiin. Suomen kyberturvallisuusmarkkina on maailmanlaajuisestikin erittäin kehittynyt.
Merkittävä osa kunnista kykenee itse tai yhteistyössä hallinnoimaan myös kyberturvallisuuden riskienhallintatoimia ja siihen liittyviä hankintoja ja kumppanuuksia. Ilmeisesti huolet kyberturvallisuuden vaarantumisesta yllä mainituista syistä liittynevät joukkoon pienempiä kuntia. On myös huomionarvoista, että Suomessa on ainakin 20 000 yritystä, jotka vastaavat kooltaan pienempää hankintayksikköä. Nämä yritykset osallistuvat dynaamisesti markkinoihin.
Sopimus- ja toimittajahallinta ovat keskeisiä tekijöitä myös varautumisessa. Kaavaillun hankintalain muutoksen jälkeen on edelleen tehokkaita keinoja skaalata osto-osaamista yhteishankinnoilla, ja turvallisuus- sekä toimitusriskien hallintaan kuuluu aina myös sopimuksen kesto ja markkinoiden kehittymisen seuranta. On hyvä muistaa, että tietohallinnon ja kyberturvallisuuden hallintapalvelut ovat digitaalisia palveluita, joita voidaan toimittaa laajasti maantieteellisestä sijainnista riippumatta. Kysymys on pikemminkin siitä, miten hankintayksiköt kykenevät toteuttamaan palveluntuottajilta hankittujen ratkaisujen yhteensovittamisen ja sopimaan tehtävienjaosta tehokkaalla tavalla. Ratkaisu tähän haasteeseen ei ole niinkään poikkeukset sidosyksiköiden omistuskriteereihin, vaan hankintayksiköiden ja -rinkien vahvistaminen hankintaosaamisessa sekä yhteistyö kyberturvallisuuden toimialan kanssa hankintaan liittyvän kapasiteetin vahvistamisessa. Tässä myös sidosyksiköt voivat halutessaan muotoilla rooliaan soveltuvalla tavalla.
Mikäli julkisyhteisö, kuten kunta kokee lähes mahdottomaksi ostaa markkinalta vapaasti, tai vaihtaa sopimusta, koska se olisi teknisesti tai taloudellisesti liian vaikeaa, tilanne vaikuttaa enemmän itse aiheutetulta ”toimittajalukolta”. Voidaan myös kysyä, onko tällöin ulkoistettu myös vastuu tavoiteltavan turvallisuusriskien tason määrittelystä? Kaikissa organisaatioissa, niin yksityisissä kuin julkisissakin, riskienhallinnan tason tulisi aina olla tilaajan, ei toimittajan käsissä. Turvallisuus on suorituskyky, jonka avulla tasapainotetaan organisaation vahinkoriskit ja niiden hallinnan kustannukset halutulle tasolle. Toki siirtymätilanteet aiheuttavat myös tilapäisiä operatiivisia riskejä hankintaprosessiin liittyvän käyttöottovaiheen aikana, mutta myös näiden riskien hallinta on osa organisaation hyviä käytänteitä.
On selvää, että omistusvaatimuksen muutos aiheuttaa rakennemuutoksen in-house -markkinoille. Hankintalain valmistelussa tunnistettiin esimerkiksi sote-ala sellaisena poikkeuksena, jossa saattaa olla tarvetta pidemmälle siirtymäajalle. Jatkoaika on syytä käyttää huolellisesti keskittyen hankalien järjestelyjen toteuttamiseen.
Sidosyksiköiden osalta on aika siirtyä osaksi suurempaa perspektiiviä huoltovarmuudesta. Huoltovarmuuskeskuksen hankintalakia koskevassa lausunnossa on tiivistetty huoltovarmuuden hallinnan ydin: ”Toimivan huoltovarmuusjärjestelmän perustana ovat toimivat kansalliset ja kansainväliset markkinat, monipuolinen teollinen ja muu tuotannollinen pohja, vakaa julkinen talous ja kilpailukykyinen kansantalous. Esitetyn muutoksen seuraukset olisivat myös julkishallinnon näkökulmasta positiivisia, kun kilpailu ja tarjonta lisääntyvät. Sidosyksikköjä voidaan kehittää kuitenkin kuten tähänkin saakka.”
Konkreettisesti digitaalinen huoltovarmuus nojautuu kyberturvallisuuden riskienhallintaan eli kunnan tai yhteisön tietojärjestelmien ja -palveluiden toimintavarmuuden, luottamuksellisuuden ja jatkuvuuden varmistamiseen. Tässä kontekstissa kaavailtu hankintalain uudistus mahdollistaa myös hankintayksikön toimitusvarmuuteen ja jatkuvuuteen liittyviä vaatimuksia. Suomen lähes ainutlaatuinen vahvuus on nimenomaan se, miten kykenemme toimimaan sopimuspohjaisesti julkisen ja yksityisen yhteistyössä, kokonaishyötyjä edistäen ja yhteiskunnan resilienssiä, eli häiriöiden hallinta- ja sietokykyä rakentaen.
Sanna-Maria Bertell, EK
Markku Rajamäki, EK
Peter Sund, Teknologiateollisuus
